Perché non possiamo bloccare l'attacco di amplificazione DNS bloccando i pacchetti UDP o il pacchetto di risposta DNS?

7

Voglio dire se l'attaccante cerca di chiedere a tutti i risolutori DNS aperti di rispondere a un server web. Il server web può semplicemente bloccare le sue porte UDP. Se tutta la risposta DNS va a un server dei nomi autorevole (vittima), può semplicemente eliminare tutta la risposta DNS.

Oppure l'amplificazione del DNS riguarda la larghezza di banda?

    
posta user15580 17.05.2013 - 23:21
fonte

6 risposte

4

Gli attacchi di amplificazione del DNS sono molto facili da prevenire con filtraggio dei pacchetti UDP sul bordo router. Ecco come Cloudflare è in grado di contrastare facilmente un attacco DDoS da 300+ gb / s.

    
risposta data 17.05.2013 - 23:35
fonte
7

Possiamo ma ...

Quando la query arriva sul tuo server è già troppo tardi. Il tuo server sprecherà le sue risorse cercando di fare qualcosa con i pacchetti e le richieste. Anche se hai qualcosa come iptables rilascia tutte le connessioni, continuerà a utilizzare tutta la larghezza di banda sul server in entrata. Il reindirizzamento di tutto il traffico da qualche altra parte consuma la larghezza di banda in uscita e diffonde l'errore di rete tra il server e il nuovo target.

È un problema di infrastruttura di rete. Non è un problema del server (a meno che non sia un risolutore ricorsivo aperto). Il traffico deve essere gestito (ucciso) più in alto nella pipa. Ecco un advisor CERT dal 23 marzo.

Unfortunately, due to the overwhelming traffic volume that can be produced by one of these attacks, there is often little that the victim can do to counter a large-scale DNS amplification-based distributed denial-of-service attack. While the only effective means of eliminating this type of attack is to eliminate open recursive resolvers, this requires a large-scale effort by numerous parties.

Inoltre

Source IP Verfication: Because the DNS queries being sent by the attacker-controlled clients must have a source address spoofed to appear as the victim’s system, the first step to reducing the effectiveness of DNS amplification is for Internet Service Providers to deny any DNS traffic with spoofed addresses.

    
risposta data 18.05.2013 - 00:30
fonte
4

Il problema è che è necessario eliminare il traffico prima che raggiunga la rete. Quindi, anche quando lasciare cadere i pacchetti sul tuo server è troppo tardi. Il modo migliore per ridurre il rischio è utilizzare i servizi di pulizia dei pacchetti come Akamai o Cloudfare che dispongono di tecniche di attenuazione DDoS per impedire che questo traffico raggiunga la rete.

    
risposta data 18.05.2013 - 06:55
fonte
3

Il blocco del traffico sul server non impedirà al DDoS di saturare alla fine il suo uplink e probabilmente altri collegamenti all'interno della rete. Gli attacchi di amplificazione del DNS riguardano la generazione di grandi quantità di larghezza di banda.

    
risposta data 17.05.2013 - 23:23
fonte
1

L'uplink sarà ancora saturo.

L'unico modo per mitigarlo è quello di attivare RRL sui server e ottenere un giro di risolutori aperti. E per legittimi risolutori aperti, invitali a inviare pacchetti UDP il più piccoli possibile con il set di bit TC ("riprova con il TCP") in modo che l'amplificazione non si verifichi ancora e non interrompa il traffico legittimo.

Altre tecniche di mitigazione per i risolutori includono l'imposizione di un TTL minimo (che aiuta anche contro l'avvelenamento) e una dimensione di carico utile ragionevole ragionevole per le risposte inviate usando UDP. Google DNS utilizza un limite di 512 byte per questo motivo.

    
risposta data 20.05.2013 - 23:00
fonte
0

Disattivare le risposte di ricorsione sui server DNS pubblici su IP Internet casuali - ovvero chiudere il buco del "resolver aperto" - NON attenuarlo perché è ancora possibile effettuare un attacco di riflettore / amplificazione DNS falsificato semplicemente inviando query che risultano in una "scatola" Ti diamo una risposta "risposta, che può ancora essere molto più grande della query in arrivo.

È davvero necessario utilizzare alcune combinazioni di misure limitative della risposta o a monte come menzionato in precedenza. Tecnicamente è possibile utilizzare il filtraggio in uscita per bloccare i pacchetti in uscita originati su un diverso collegamento / interfaccia rispetto alla rotta verso la destinazione falsificata, ma su reti semplici (cioè con un unico collegamento Internet) che non è fattibile.

Ecco un vecchio white paper che illustra alcune altre misure di mitigazione, come l'uso dei conteggi hop del pacchetto per indovinare la legittimità di un pacchetto in entrata:

link

Ma ovviamente il filtraggio e le risposte limitative della velocità al "punto di riflettore" non attenuano ancora il grande flusso di pacchetti in entrata che viene diretto al server DNS. Risparmia il target previsto dall'essere DDoS dal tuo server DNS e il tuo server DNS da impantanarsi con traffico spazzatura.

    
risposta data 23.12.2014 - 14:57
fonte

Leggi altre domande sui tag